L’authentification est le processus par lequel on s’assure que celui qui se prétend titulaire d’une identité ou d’un droit est bien le légitime détenteur. Dans le cadre du règlement eIDAS, la question de l’authentification forte est corollaire à celle de l’identification forte ou de l’identité numérique obtenue via un prestataire de service de confiance de niveau élevé. Mais dans la pratique, les attentes du règlement eIDAS sont loin d’être réalisables, en tout cas pour ce qui est de certains pays comme la France qui peine à trouver la juste mesure. On peut alors se demander s’il existe des solutions seamless dans le processus d’authentification forte de manière générale.

L’authentification, un enjeu de taille pour le règlement eIDAS

Dans le cadre de ce règlement communautaire qui traite entre autres de la signature électronique, seule celle de niveau qualifié a une valeur probante. Le Livre Blanc sur la Valeur Probante de la Signature Électronique nous démontre clairement comment la complexité de ce type de signature en renforce sa valeur juridique. En effet, sa mise en œuvre nécessite des moyens techniques de grande envergure et une organisation sans failles. Le but est de s’assurer de l’identité de celui qui signe, et de protéger cette identité contre tous risques de nature à lui nuire. Ainsi, pour faire valoir cette identité électronique au moment de la signature électronique qualifiée, il faut passer par l’étape décisive de l’authentification.

Cette phase d’authentification forte a pour but principal de s’assurer de l’impossibilité de la falsification et de l’usurpation de la signature électronique d’un tiers.

Il est ainsi établi au sein des différents pays de l’Union des processus de mise en place de l’authentification forte. Mais les difficultés de leur mise en œuvre sont nombreuses.

Vers une authentification forte simplifiée

En France, il existe une liste de prestataires de confiance qui sont autorisés à délivrer une identité numérique élevée. Il s’agit entre autres d’entreprises comme DocuSign et d’autres prestataires dont la renommée et les compétences s’étendent généralement à toute l’Union. Cependant, l’étape de l’authentification forte est la plupart du temps gérée par d’autres services, ce qui fait qu’il y a une coupure dans le processus de la signature électronique qualifiée. Les services impliqués dans les prestations relatives à l’authentification forte sont entre autres Verizon Universal Identity Services, Onelogin ou encore Okta.

L’idéal afin de faciliter les échanges et les transactions électroniques serait bien entendu que le dispositif global soit géré par les mêmes services, afin de gagner du temps et de favoriser la sécurité dans la manipulation des informations d’identification et d’authentification. La plupart des prestataires autorisés à fournir des services de signature dans le Cloud offrent cette double possibilité. En dehors de Docusign, on a également Signix qui propose d’intégrer à leurs prestations celles proposées par les services d’authentification forte.

En arrivant à combiner ces prestations et surtout à les déployer à grande échelle, on pourra valablement parvenir à une solution seamless en matière d’identification forte.

Besoin d’en savoir plus ? Téléchargez notre livre blanc « Valeur probante de la signature électronique ».